我正在尝试使用内核驱动程序从虚拟程序中读取字符串。但是只读取了前4个字符,我不知道为什么。
用于读取字符串的IOCTL代码的一部分:
else if (ControlCode = IO_READ_STRING_REQUEST)
{
PREAD_REQUEST Values = (PREAD_REQUEST)buffer;
PREAD_REQUEST ValuesOutput = (PREAD_REQUEST)buffer;
PEPROCESS process;
if (NT_SUCCESS(PsLookupProcessByProcessId(PID, &process)))
{
KeReadProcessMemory(process, Values->Address, &ValuesOutput->buffer, Values->Size);
DbgPrint((PCSTR)Values->buffer);
status = STATUS_SUCCESS;
}
else
status = STATUS_INVALID_PARAMETER;
BytesIO = sizeof(READ_REQUEST);
}
这是读取的结构:
typedef struct ReadStruct
{
ULONGLONG Address;
ULONGLONG Response;
ULONGLONG Size;
char buffer[128];
} READ_REQUEST, *PREAD_REQUEST;
当DbgPrint应该打印stringChar时,它总是打印stri,并且stri返回到用户模式。
这是从用户模式调用的方式:
void ReadString(std::string *string, DWORD64 address)
{
ReadValues Values;
std::memset(Values.buffer, '\0', 128);
Values.Address = address;
Values.Response = 0;
Values.Size = sizeof(128);
if (!(DeviceIoControl(hDriver, IO_READ_STRING_REQUEST, &Values, sizeof(Values), &Values, sizeof(Values), 0, 0)))
{
std::cout << "RPM Failed!\n";
exit(1);
}
*string = (std::string)Values.buffer;
}
结构相同:
struct ReadValues
{
ULONGLONG Address;
ULONGLONG Response;
ULONGLONG Size;
char buffer[128];
};
我以为是大小,但是当我将大小指定为11(10 + \ 0)时,它也只能读取4个字符。
答案 0 :(得分:3)
问题在这里:
Values.Size = sizeof(128);
^^^^^^^^^^^
这与sizeof(int)(在您的平台上为4)相同。
使用128或sizeof(buffer)(可以说后者更好,因为您不会在多个地方对相同的常数进行硬编码)。